網(wǎng)絡連接泛在、網(wǎng)絡攻擊泛化的時代，IT系統(tǒng)提供的巨大優(yōu)勢被它引入現(xiàn)代系統(tǒng)的一系列漏洞所抵消。漏洞幾乎貫穿了系統(tǒng)的整個階段，從新系統(tǒng)的設計，到供應鏈和維護階段，這些漏洞都可以被利用。造成的影響后果可能從數(shù)據(jù)泄露到不能使用特定武器系統(tǒng)，甚至是財產(chǎn)損失、生命損失，不一而足。重要的是要考慮到，以網(wǎng)絡攻擊為代表的威脅不僅影響最新的系統(tǒng)，而且還影響那些在過去幾十年里從未被安全設計的系統(tǒng)。后者可能受到更高程度的影響。事實上，這些系統(tǒng)使用的是傳統(tǒng)版本的嵌入式計算機、傳感器、網(wǎng)絡等，這些都是在安全還不像現(xiàn)在這樣重要的時候開發(fā)的。飛機上的傳感器、執(zhí)行器、嵌入式計算機、控制器和武器系統(tǒng)的互聯(lián)是一個潛在的漏洞。武器系統(tǒng)和航空電子系統(tǒng)使用MIL-STD-1553標準作為通信協(xié)議，正是這類存在潛在隱患的協(xié)議的典型代表。

　　為什么1553數(shù)據(jù)總線如此脆弱？

　　“1553是一個共享總線，”國防電子承包商Peraton Labs的系統(tǒng)和網(wǎng)絡安全高級研究總監(jiān)約瑟芬·米卡萊夫（Josephine Micallef）解釋說，“這意味著當傳輸信息通過該總線發(fā)送時，連接在該總線上的任何設備都可以看到消息。從安全角度來看，這存在明顯的問題?！边@意味著在總線上已立足的攻擊者可以竊聽表示飛機位置、速度、方向和其他關鍵的信息。

　　另外，因為沒有辦法對總線上的消息進行身份驗證，連接到總線的流氓或受惡意軟件感染的嵌入式系統(tǒng)可能會假裝是其他組件發(fā)送消息。擁有這種權限的攻擊者可以向飛行計算機以及飛行員發(fā)送有關燃油水平、高度或位置的虛假數(shù)據(jù)。

　　最糟糕的是，缺乏認證意味著攻擊者可以假裝是飛行計算機。米卡萊夫說：“你可以模仿總線控制器”——這是飛行計算機在總線上通常扮演的角色——發(fā)送虛假數(shù)據(jù)或虛假指令。她說：“這可能會造成嚴重破壞，造成操作混亂、不可靠的態(tài)勢情報、平臺不穩(wěn)定，以及任務中止、任務失敗和隨之而來的物資損失和生命損失?！?/p>

　　即使是一個粗糙的拒絕服務類型的攻擊，用虛假流量淹沒了總線，也可能產(chǎn)生更廣泛和不可預測的影響。他說：“如果你讓總線不堪重負，你可能會讓它進入某種奇怪的（類似競爭條件的）狀態(tài)……一種溢出的情況。在這種情況下，安全協(xié)議可能會導致設備轉儲其加密密鑰或其他數(shù)據(jù)。

　　但最陰險的黑客可能是很隱蔽的：攻擊目標是1553總線上的關鍵任務設備，只有在特定條件下才觸發(fā)，例如，如果目標在特定區(qū)域內(nèi)，就可以阻止武器開火。只在非常低的高度破壞高度數(shù)據(jù)的攻擊可能導致起飛或降落失敗。

　　米卡萊夫說：”最可怕的襲擊是那些你不知道正在發(fā)生的襲擊。拒絕服務攻擊，阻止總線操作將被發(fā)現(xiàn)，在飛行前檢查，并將阻止飛機離開地面，“但最嚴重的攻擊是一個并不是顯性的，任務失敗，不是因為網(wǎng)絡攻擊造成的，而是因為一些設備故障?！?/p>

　　米卡萊夫和README記者采訪的其他六名消息人士都不愿評論1553總線是否真的受到了網(wǎng)絡攻擊（“我喜歡你，”其中一人說，“雖還不至于到要進監(jiān)獄的程度——這是高度機密”），但危險顯然不僅僅是理論上的。在今年1月發(fā)表的一篇論文中，意大利航空學院（Aeronautical Institute In Italy）的學者們透露，他們實際上已經(jīng)制造出了一種可以對1553總線的航空器實施網(wǎng)絡攻擊的設備。

　　MIL-STD-1553總線可能面臨哪些網(wǎng)絡攻擊？

　　在意大利航空學院研究者的論文中，作者描述了可能對1553數(shù)據(jù)總線實施的網(wǎng)絡攻擊。作者稱，鑒于該協(xié)議的特殊性，連接到1553網(wǎng)絡的非法設備有可能進行大量的（盡管有限的）攻擊。事實上，將所有控制委托給BC（總線控制器）的多路復用和調(diào)度方案創(chuàng)建了一個可以針對和利用的單點故障。如果一個設備能夠在網(wǎng)絡中注入命令字，其他1553設備無法將這些信息與合法信息區(qū)分開來。這種行為可能會產(chǎn)生嚴重的后果，從阻止系統(tǒng)之間的信息交換到向系統(tǒng)提供虛假或惡意的數(shù)據(jù)。根據(jù)更高級別的漏洞，攻擊可能通過戰(zhàn)術網(wǎng)絡傳播到其他域。事實上，現(xiàn)代武器系統(tǒng)越來越成為相互關聯(lián)的數(shù)據(jù)處理單元，信息交換對執(zhí)行任務至關重要。因此，本質(zhì)上基于MIL-STD-1553協(xié)議規(guī)范的可行的邏輯級網(wǎng)絡攻擊將利用集中式多路復用方案，通過統(tǒng)計學習幀調(diào)度并在方便的總線時間執(zhí)行惡意動作。

　　與1553基礎設施相關的攻擊類型，因此將是進一步考慮的主題，如下形式的攻擊是最直接的想法：

　　A.直接拒絕服務（通過頻帶消耗）；

　　B.惡意利用（通過欺騙和消息注入）。

　　拒絕服務（DoS）

　　DoS的目的是阻止總線上的通信。它利用低電平干擾并消耗總線資源，防礙子系統(tǒng)之間的數(shù)據(jù)交換?？赡艿暮蠊秋@而易見的。例如，需要地面目標坐標才能發(fā)射的制導武器可以從系統(tǒng)中分離出來。在這種情況下，如果不能建立通信，武器系統(tǒng)將不會被釋放。對于1553網(wǎng)絡，終端之間的通信可能被隨機注入消息阻塞，這將導致總線上的沖突。如果網(wǎng)絡設備對總線有物理訪問，那么實現(xiàn)就很簡單。實際上，最基本的實現(xiàn)是根據(jù)主幀和子幀模式，將命令字與總線上發(fā)生的標準消息相對應地傳輸。這種行為會引起干擾和噪聲，并導致解碼錯誤。BC可能會注意到總線上無法通信，并采取嘗試恢復鏈路的行動，例如在冗余信道上切換傳輸。但是，如果網(wǎng)絡設備可以訪問每個通道，則可以同時對每個通道進行攻擊。BC可能會將情況報告給操作員，即飛行員或領航員。因此，人們可能有興趣通過最小的噪聲注入來實現(xiàn)DoS，以減少被檢測到的可能。

　　此外，DoS可以以各種各樣的方式執(zhí)行?？梢詰酶⒚詈汀皟?yōu)雅”的方法，從而使攻擊者保持不被發(fā)現(xiàn)。其中一種技術是讓網(wǎng)絡設備與BC定期傳輸?shù)拿钭职l(fā)生沖突，因此RT（遠程終端）永遠無法解碼。同時，它也可能代表RT進行響應，提供虛假信息。實際上，如果命令字在BUS上發(fā)生沖突，RT執(zhí)行的消息驗證將失敗，后者將不會提供任何響應。因此，如果網(wǎng)絡設備提供了預期的響應，BC就會被誤導，認為通信已經(jīng)成功。該解決方案暗示了目標消息特征的先驗知識，以便網(wǎng)絡設備能夠恰當?shù)亟M合BC所期望的狀態(tài)字。

　　欺騙（Spoofing）

　　這種攻擊包括利用互連子系統(tǒng)的邏輯中的錯誤和漏洞。事實上，1553數(shù)據(jù)總線協(xié)議已經(jīng)被設計成一種高可靠性的通信手段。在通信過程中，安全性還沒有成為一個主要的角色，因此設備很容易被利用。例如，通過物理訪問1553總線的網(wǎng)絡設備可以檢測總線上的空閑時間（即當BC和RT都不傳輸數(shù)據(jù)時），并在該時間間隔內(nèi)發(fā)起消息交換。每一個其他設備將假定總線上的通信是由合法的BC發(fā)起的，因為該協(xié)議沒有提供任何方法來識別操作為BC的終端。因此，網(wǎng)絡設備將能夠向終端提供惡意信息。

　　例如，考慮到上述制導武器的情況，攻擊者可以向該武器提供不屬于特派團指定目標的座標，而忽略以往的任何數(shù)據(jù)。沒有設備會知道存儲在武器系統(tǒng)中的坐標是偽造的，而BC將簡單地忽略這種信息交換。這種攻擊的后果可能是毀滅性的：它們可能是武器沒有發(fā)射，也可能是裝置本身沒有導向目標區(qū)域。

　　在執(zhí)行這種類型的攻擊時要面對的主要問題是確定何時傳輸總線上的空閑時間。這轉換為預測消息間間隙或未使用的非周期性消息槽。事實上，網(wǎng)絡設備必須在一定程度上保證網(wǎng)絡在一定的時間間隔內(nèi)不受合法通信的影響。為了進行這樣的分析，必須實現(xiàn)基于信號處理和模式識別的算法，這些算法能夠評估潛在的流量特征，并進行充分的預測。

　　攻擊是如何實現(xiàn)的？

　　事實上，武器系統(tǒng)的核心正在嵌入越來越多的信息技術；因此，他們很容易受到第五維度，即網(wǎng)絡空間的攻擊。因此，需要在提及的領域引入彈性。D. De Santo等人的研究和最終的攻擊工具開發(fā)，遵循了如下五個基本的步驟。

　　第一步是徹底調(diào)研選定的方案，即MIL-STD-1553的漏洞在于它對時分多路復用的使用，這完全委托給了BC（總線控制器）。通過使用命令字，BC發(fā)起終端之間的通信，并編排時間和調(diào)度。因此，如果非法設備能夠估計空閑時間并發(fā)送消息，而不會與底層流量發(fā)生沖突，那么它就有可能欺騙終端并產(chǎn)生影響。在其他情況下，攻擊者可能有意在總線上主動引起沖突，以防止或損害通信。網(wǎng)絡行動的目標可能是基礎設施本身，或與總線接口的特定系統(tǒng)。在前一種情況下，對物理層的干擾足以實現(xiàn)普遍的沖突，使合法的消息交換變得無法進行。在后一種情況下，更深入的分析導致了對選擇性干擾攻擊的識別，該攻擊可能被執(zhí)行以阻止特定信息的傳輸。

　　第二步是繼續(xù)使用基于模型的系統(tǒng)工程方法，以便根據(jù)可操作場景的定義來驗證系統(tǒng)架構。采用的建模框架-即ARCADIA。

　　第三步是展開操作分析、系統(tǒng)分析、邏輯分析。這個過程允許作者定義四個架構塊。接下來的階段是將建模結果轉化為一個有效的軟件。研究者用C/ c++實現(xiàn)了軟件，并利用AceXtreme SDK接口連接到DDC MIL-STD-1553板。

　　最后一步包括在虛擬和真實系統(tǒng)上進行測試和實驗。研究者分別進行了阻塞、注入、選擇性注入的攻擊測試。結果表明，上述1553總線的漏洞確實可以被利用，測試的成功為進一步的工作和研究提供了良好的起點。試驗也證明了通過統(tǒng)計分析流量來注入消息而不引起沖突是可能的。另一方面，研究者還沒有能夠充分評估選擇性干擾的可行性。這主要是由于采用Windows等非實時操作系統(tǒng)引入了太多的抖動，從而不允許實現(xiàn)幀同步。為了確定這種攻擊是否真的有效，軟件必須移植到實時操作系統(tǒng)上，如VxWorks或RT-Linux，或者更好的是，實現(xiàn)為固件或硬件執(zhí)行。

　　盡管作者認為測試用的軟件還需要進一步的改進、完善和更新，以便作為演示工具或驗證工具使用。然而，這為繼續(xù)分析航空電子平臺上的漏洞提供了堅實的基礎，特別是那些部署MIL-STD-1553協(xié)議的平臺。

　　作者認為，在這些系統(tǒng)中實現(xiàn)一些網(wǎng)絡彈性的可行解決方案應該采取基于統(tǒng)計的入侵檢測系統(tǒng)的形式，或者通過深度學習技術的精明設計。實際上，他們的研究工作中提出的一些一般原則可以應用于其他系統(tǒng)或協(xié)議。因此，作者進一步認為該項研究將提高人們對電子航空電子學的興趣。

　　1553數(shù)據(jù)總線的安全問題已經(jīng)完全暴露，但其后果影響能到什么程度還缺乏深度的評估。顯而易見的是，這一定是涉及財產(chǎn)和生命損失的重大問題。

　　關于1553數(shù)據(jù)總線的安全防御，下期再進行討論。

　?。ㄒ唬┸姌薓IL-STD-1553數(shù)據(jù)總線存在安全漏洞，武器系統(tǒng)和航空電子系統(tǒng)面臨網(wǎng)絡攻擊危險